gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
SHA-1 comprometido
Contribuído por AsHeS em 16-02-05 11:48
do departamento mais uma
Cifragem Durante a leitura matinal do slashdot encontrei esta notícia , que diz que o algoritmo SHA-1 foi comprometido. A notícia tem um link para o weblog do Bruce Schneier, onde o próprio afirma que o algoritmo foi comprometido ("SHA-1 has been broken. Not a reduced-round version. Not a simplified version. The real thing."). Segundo ele, os "responsáveis", fazem parte das equipas de pesquisa Xiaoyun Wang, Yiqun Lisa Yin e Hongbo Yu, maioritáriamente da Universidade de Shandong na China. O paper relativo a esta descoberta ainda não está disponível na generalidade, mas certamente que em breve se terá mais novidades.

Debate pré-eleitoral Gildot | SAPO ADSL com tráfego ilimitado entre 01:00 e 07:00  >

 

gildot Login
Login:

Password:

Referências
  • gildot
  • slashdot
  • notícia
  • weblog do Bruce Schneier
  • Mais acerca Cifragem
  • Também por AsHeS
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    CrYpTo (Pontos:1)
    por Gothic em 16-02-05 18:11 GMT (#1)
    (Utilizador Info) http://www.ClusterCube.com
    SHA1_Init(&context);
    SHA1_Update(&context, buffer, length);
    SHA1_Break(hash, &context);

    Breaked.. change to SHA-256 =)

    Characteristic of life style...
    Re:CrYpTo (Pontos:1)
    por Gothic em 16-02-05 18:16 GMT (#2)
    (Utilizador Info) http://www.ClusterCube.com
    http://www.cr0.net:8040/code/crypto/sha256/

    :-)

    Characteristic of life style...
    Re:CrYpTo (Pontos:1)
    por fr0z3n em 16-02-05 21:48 GMT (#3)
    (Utilizador Info)
    Kmos eu aki á tempos lembro-me de teres dito que tinhas escrito o teu último post no gildot.
    Voltaste e n disseste nada ao ppl? shame on you ;)

    "Ignorance, the root and the stem of every evil." - Plato
    Re:CrYpTo (Pontos:0, Despropositado)
    por Gothic em 16-02-05 23:18 GMT (#4)
    (Utilizador Info) http://www.ClusterCube.com
    E deduzis-te isso por causa de um resultado no google ?

    " gildot | Artigos | O RSS em Portugal
    ... por Gothic em 12-12-04 21:54 GMT (#1) (Utilizador Info) http://www.woodmann.com/crackz/Archives/Kmos.zip. Por acaso o gildot sempre disponibilizou isso... ... "


    Foi mera coincidência...

    Characteristic of life style...
    não é BREAKED (Pontos:2, Esclarecedor)
    por pires em 17-02-05 10:44 GMT (#6)
    (Utilizador Info) http://www.evoluzion.org
    é BROKEN ;)
    After all, we're all alike!
    Re:não é BREAKED (Pontos:1)
    por Gothic em 17-02-05 11:10 GMT (#7)
    (Utilizador Info) http://www.ClusterCube.com
    My fault! :-)

    Characteristic of life style...
    isto não é propriamente acessível a toda a gente.. (Pontos:3, Informativo)
    por pires em 17-02-05 10:13 GMT (#5)
    (Utilizador Info) http://www.evoluzion.org
    Se formos a ver bem a questão, precisaríamos de um mainframe de processamento paralelo para atacar 590295810358705651712 vezes uma hash SHA-1 de forma a gerar uma colisão que será o buraco do algoritmo.

    Cita-se:
    "Yes, they found a way to break the hash function. But as the parent said, it does not mean it's suddenly invalid. Sure, the group found a way to break the algorithim, but look at According to TFA a collision can be found in about 2**69 hash operations. That's 590295810358705651712 attempts before they can find a match, as opposed to the 2**80 (1208925819614629174706176) that was expected before the paper. While the paper means it is orders of magnitude less work, it still means a lot of work for the attacker. Lets look at two relevant examples: disc images and passwords. Lets say I have an ISO disk image. I hack it, and want to modify some of the 'junk' bits using their algorithm. I'd still need to perform 590295810358705651712 hash operations on that image. Computing the hash of a disc is a slow operation. That's not something I could do in a day, week, or even a few months. Perhaps if I had a massivly parallel computer available, I could do it, but not as an individual. For a password, hopefully your system would lock the account long before there are that many failed login attempts. However, if your attacker has that kind of resources, you can assume it is feasable for them to find a hash collision. That's really only significant for governments, multi-national organizations, and other major enterprises, but not for most people."

    Claro que ainda existiria o problema dos super-windows-machines-controlled-by-worms que criam clusters mt "interessantes" :)


    After all, we're all alike!
    Re:isto não é propriamente acessível a toda a gent (Pontos:1)
    por Gothic em 17-02-05 11:11 GMT (#8)
    (Utilizador Info) http://www.ClusterCube.com
    Tens razão, porque se for assim e por brute-force também conseguem com o MD5, pelo menos foi o que li.

    Characteristic of life style...
    Re:isto não é propriamente acessível a toda a gent (Pontos:3, Informativo)
    por bêbado em 17-02-05 12:05 GMT (#9)
    (Utilizador Info)
    "(...) também conseguem com o MD5 (...)"

    Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD (PDF) [Revised on August, 17, 2004] Inclui nota sobre SHA-0 e HAVAL-160

    ~~~ O vinho é q'induca e o fado é q'instrói ~~~

     

     

    [ Topo | FAQ | Editores | Contacto ]